30.09.2003 НовостиУЯЗВИМОСТИКлиентская безопасность Эксперты сомневаются, что Lotus исправила дефекты SametimeДеннис ФишерИсследователь безопасности, недавно обнаруживший уязвимости в клиенте мгновенной передачи сообщений, входящем в интерактивную систему коллективной работы Sametime компании Lotus Software, заявил, что ее руководство скрывает правдивую информацию о масштабе существующих дефектов и о том, исправлены ли они в последней версии ПО.По словам специалиста, выступающего под именем Мицелиум, уязвимости в схеме криптозащиты Sametime вопреки утверждениям Lotus перешли в версию 3.0, и поэтому сохраняется возможность простого раскрытия пользовательских ключей и паролей. И пароль пользователя, и шифрующий его ключ в Sametime пересылаются в одном и том же пакете.Это ПО применяется главным образом в корпоративной среде."Для безопасной пересылки удостоверяющей информации по сети надо либо работать по протоколу обмена ключами, либо иметь заранее согласованный симметричный ключ, иного просто не дано. В Windows-клиенте Sametime 3.0 нет ни того ни другого", - говорится в сообщении Мицелиума, включенном в августовскую рассылку BugTraq. Sametime: проблемы остаютсяВопросы по безопасности Sametime 3.0 - Клиент пересылает пользовательский пароль и шифровальный ключ в одном и том же пакете- Слабая схема генерации ключей жестко ограничивает число возможных ключей- Сообщения раскрываются с помощью неизменной шестибайтовой последовательностиФормального ответа на это сообщение Lotus ...
читать далее.